Konfigurationsschritt 4: Konfigurieren der Anwendungssicherheit

  • Artikel

von Keith Newman und Robert McMurray

In dieser Phase der Erstellung der ASP.NET-Website konfigurieren Sie die in IIS verfügbaren Sicherheitseinstellungen. In den folgenden Abschnitten werden allgemeine Sicherheitseinstellungen für ASP.NET-Anwendungen beschrieben:

4.1. Isolieren von Webanwendungen

Implementieren Sie die folgenden Empfehlungen zum Isolieren von Websites und Webanwendungen auf dem Server.

  • Verwenden Sie einen Anwendungspool pro Website oder Webanwendung.
  • Schränken Sie den Zugriff auf die Website-Ordner und Dateien für die Identität des Anwendungspools ein.
  • Richten Sie einen separaten temporären ASP.NET-Ordner pro Website ein, und weisen Sie den Zugriff nur der Anwendungspoolidentität zu.
  • Stellen Sie sicher, dass eine Zugriffssteuerungsliste (Access Control List) auf jedem Stammordner nur den Zugriff auf die Identität des Anwendungspools gewährt.

Wenn Sie mehr als eine Anwendung pro Anwendungspool besitzen, sollten Sie genügend Anwendungspools erstellen. Einige Anwendungen sollten Sie in die neuen Pools verschieben.

So erstellen Sie einen Anwendungspool

  1. Öffnen Sie den IIS-Manager.
  2. Klicken Sie im Bereich Verbindungen auf Anwendungspools.
  3. Klicken Sie im Bereich Aktionen auf Anwendungspool hinzufügen.
  4. Geben Sie im Feld Name einen eindeutigen Namen für den Anwendungspool ein.
  5. Aktivieren Sie die Optionen .NET Framework-Version und Verwalteter Pipelinemodus.
  6. Klicken Sie auf OK.

So verschieben Sie eine Anwendung in einen anderen Anwendungspool

  1. Öffnen Sie den IIS-Manager.
  2. Wählen Sie auf der Seite Verbindungen die Website oder Webanwendung, die Sie verschieben möchten.
  3. Klicken Sie im Bereich Aktionen auf Grundeinstellungen.
  4. Klicken Sie im Dialogfeld Website bearbeiten auf Auswählen, um das Dialogfeld Anwendungspool auswählen zu öffnen. Wählen Sie anschließend den Anwendungspool aus dem Menü Anwendungspool.
  5. Klicken Sie auf OK, um das Dialogfeld Anwendungspool auswählen zu schließen. Klicken Sie auf OK, um das Menü Website bearbeiten zu schließen.

So fügen Sie eine Anwendungspoolidentität zu einem Ordner oder zu einer ACL-Datei hinzu

  1. Öffnen Sie Windows Explorer, und navigieren Sie zu dem Ordner oder zu der Datei.
  2. Klicken Sie mit der rechten Maustaste auf den Ordner oder die Datei, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Sicherheit und dann auf Bearbeiten.
  4. Klicken Sie auf Hinzufügen und auf Speicherorte. Wählen Sie den Server als Speicherort für die Suche aus.
  5. Fügen Sie unter Geben Sie die zu verwendenden Objektnamen ein die Zeichenfolge IIS APPPOOL\Anwendungspoolname ein, wobei Anwendungspoolname die Identität des Anwendungspools darstellt.
  6. Klicken Sie auf OK, auf OK und ein weiteres Mal auf OK, um die Dialoge zu schließen.

4.2. .NET-Vertrauensebenen

In diesem Abschnitt wird beschrieben, wie die Vertrauensebene der Anwendung über die Benutzeroberfläche von IIS-Manager oder die Befehlszeile festgelegt wird.

So legen Sie die Vertrauensebene über die Benutzeroberfläche fest

  1. Navigieren Sie in IIS-Manager zu der Ebene, die Sie verwalten möchten.
  2. Doppelklicken Sie in Featureansicht auf .NET-Vertrauensebenen.
  3. Wählen Sie auf der Seite .NET-Vertrauensebenen eine Vertrauensebene aus der Dropdownliste Vertrauensebene und dann im Bereich Aktionen die Option Übernehmen aus.

So legen Sie die Vertrauensebene über die Befehlszeile fest

Verwenden Sie zum Festlegen einer Vertrauensebene die folgende Syntax:

appcmd set config /commit:WEBROOT /section:trust /level:Full|High|Medium|Low|Minimal

Das Ebenenattribut verwendet einen von fünf Werten, die vorkonfigurierten CAS-Richtliniendateien entsprechen. Wenn Sie z. B. die Vertrauensebene Full festlegen möchten, geben Sie Folgendes an der Eingabeaufforderung ein und drücken dann die EINGABETASTE:

appcmd set config /commit:WEBROOT /section:trust /level:Full

Hinweis

Wenn Sie „Appcmd.exe“ verwenden, um das Vertrauensstellungselement auf globaler Ebene in IIS 8 zu konfigurieren, geben Sie /commit:WEBROOT im Befehl an, damit Konfigurationsänderungen an der Datei „Web.config“ im Stamm und nicht an der Datei „ApplicationHost.config“ vorgenommen werden.

4.3. .NET-Authentifizierung

In Planen einer ASP.NET-Website in IIS haben Sie Entwurfsentscheidungen dazu getroffen, welcher Authentifizierungsmodus für Ihre Anwendung geeignet ist.

ASP.NET-Formularauthentifizierung

In diesem Abschnitt wird beschrieben, wie die ASP.NET-Formularauthentifizierung über die Benutzeroberfläche von IIS-Manager oder die Befehlszeile konfiguriert wird.

So konfigurieren Sie die Formularauthentifizierung über die Benutzeroberfläche

  1. Navigieren Sie in IIS-Manager zu der Ebene, die Sie verwalten möchten.
  2. Doppelklicken Sie in der Featureansicht auf Authentifizierung.
  3. Wählen Sie auf der Seite Authentifizierung die Option Formularauthentifizierung aus.
  4. Wählen Sie im Bereich Aktionen die Option Aktivieren aus, um die Formularauthentifizierung mit den Standardeinstellungen zu verwenden.
  5. Wählen Sie im Bereich Aktionen die Option Bearbeiten aus.
  6. Geben Sie im Dialogfeld Einstellungen für die Formularauthentifizierung bearbeiten in das Textfeld URL für Anmeldung den Namen der Seite an, auf der sich Clients anmelden.
  7. Geben Sie im Textfeld Timeout für Authentifizierungscookie (in Minuten) die Anzahl an Minuten ein, die Sie für den Timeoutwert verwenden möchten.
  8. Wählen Sie in der Liste Modus den zu verwendenden Cookiemodus aus.
  9. Geben Sie im Textfeld Name den Namen des Cookies ein.
  10. Wählen Sie in der Liste Schutzmodus den zu verwendenden Schutzmodus aus.
  11. Aktivieren Sie das Kontrollkästchen Erfordert SSL.
  12. Aktivieren Sie das Kontrollkästchen Cookieablauf bei jeder Anforderung verlängern, und wählen Sie dann OK aus.

So konfigurieren Sie die Formularauthentifizierung über die Befehlszeile

Verwenden Sie die folgende Syntax, um die Formularauthentifizierung zu aktivieren:

appcmd set config /commit:WEBROOT /section:system.web/authentication /mode:None|Windows|Passport|Forms

Standardmäßig legt IIS 8 das mode-Attribut auf Windows fest, wodurch die Formularauthentifizierung deaktiviert wird. Wenn Sie das Attribut auf Forms festlegen, wird die Formularauthentifizierung aktiviert. Geben Sie z. B. zum Aktivieren der Formularauthentifizierung den folgenden Befehl an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

appcmd set config /commit:WEBROOT /section:system.web/authentication /mode:Forms

Hinweis

Wenn Sie „Appcmd.exe“ verwenden, um das Authentifizierungselement auf globaler Ebene in IIS 8 zu konfigurieren, geben Sie /commit:WEBROOT im Befehl an, damit Konfigurationsänderungen an der Datei „Web.config“ im Stamm und nicht an der Datei „ApplicationHost.config“ vorgenommen werden.

Verwenden Sie die folgende Syntax, um die Anmelde-URL für die Formularauthentifizierung anzugeben:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.loginURL:string

Die Variable forms.loginURL:string ist der Name der Seite, auf der sich Clients anmelden. Der Standardwert ist „Login.aspx“. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um die Anmelde-URL für die Formularauthentifizierung anzugeben:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.loginURL:login.aspx

Hinweis

Wenn Sie „Appcmd.exe“ verwenden, um das Authentifizierungselement auf globaler Ebene in IIS 8 zu konfigurieren, geben Sie /commit:WEBROOT im Befehl an, damit Konfigurationsänderungen an der Datei „Web.config“ im Stamm und nicht an der Datei „ApplicationHost.config“ vorgenommen werden.

Verwenden Sie die folgende Syntax, um das Authentifizierungstimeout für die Formularauthentifizierung anzugeben:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.timeout:TimeSpan

Die Variable forms.timeout:TimeSpan ist die Zeit in Minuten, nach der das für die Authentifizierung verwendete Cookie abläuft. Der Standardwert ist 30 Minuten. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um das Authentifizierungstimeout für die Formularauthentifizierung anzugeben:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.timeout:30

Hinweis

Wenn Sie „Appcmd.exe“ verwenden, um das Authentifizierungselement auf globaler Ebene in IIS 8 zu konfigurieren, müssen Sie /commit:WEBROOT im Befehl angeben, damit Konfigurationsänderungen an der Datei „Web.config“ im Stamm und nicht an der Datei „ApplicationHost.config“ vorgenommen werden.

Verwenden Sie die folgende Syntax, um den Cookienamen für die Formularauthentifizierung zu konfigurieren:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.name:string

Die Variable forms.name:string ist der Name des Cookies, das für die Formularauthentifizierung verwendet wird. Der Standardwert ist „.ASPXAUTH“. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um den Cookienamen für die Formularauthentifizierung zu konfigurieren:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.name:.ASPXUTH

Verwenden Sie die folgende Syntax, um den Cookiemodus für die Formularauthentifizierung zu konfigurieren:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.cookieless:UseUri|UseCookies|AutoDetect|UseDeviceProfile

Der Standardwert für forms.cookieless ist UseDeviceProfile. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um den Cookiemodus für die Formularauthentifizierung für die Verwendung der Einstellung „Geräteprofil verwenden“ zu konfigurieren:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.cookieless:UseDeviceProfile

Verwenden Sie die folgende Syntax, um den Cookieschutzmodus für die Formularauthentifizierung zu konfigurieren:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.protection:All|None|Encryption|Validation

Der Standardwert für forms.protection ist All. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um den Cookieschutzmodus für die Formularauthentifizierung für die Verwendung der Einstellung „Verschlüsselung und Gültigkeitsprüfung“ zu konfigurieren:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.protection:All

Verwenden Sie die folgende Syntax, um SSL für ein Authentifizierungscookie zu erfordern:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.requireSSL:true|false

Der Standardwert für forms.requireSSL ist false. Wenn Sie dieses Attribut auf true festlegen, ist SSL erforderlich. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um SSL für ein Authentifizierungscookie zu erfordern:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.requireSSL:true

Verwenden Sie die folgende Syntax, um häufig angeforderte Inhalte zwischenzuspeichern:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.slidingExpiration:true|false

Der Standardwert für forms.slidingExpiration ist true. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um häufig angeforderte Inhalte zwischenzuspeichern:

appcmd set config /commit:WEBROOT /section:system.web/authentication /forms.slidingExpiration:true

ASP.NET-Identitätswechselauthentifizierung

So konfigurieren Sie die Identitätswechselauthentifizierung über die Benutzeroberfläche

  1. Navigieren Sie in IIS-Manager zu der Ebene, die Sie verwalten möchten.
  2. Doppelklicken Sie in der Featureansicht auf Authentifizierung.
  3. Wählen Sie auf der Seite Authentifizierung die Option ASP.NET-Identitätswechsel aus.
  4. Wählen Sie im Bereich Aktionen die Option Aktivieren aus, um die ASP.NET-Identitätswechselauthentifizierung mit den Standardeinstellungen zu verwenden.
  5. Wählen Sie optional im Bereich Aktionen die Option Bearbeiten aus, um den Sicherheitsprinzipal festzulegen.
  6. Wählen Sie im Dialogfeld ASP.NET-Identitätswechseleinstellungen bearbeiten entweder Bestimmter Benutzer oder Authentifizierter Benutzer aus. Die ausgewählte Identität wird von IIS für den Sicherheitskontext der ASP.NET-Anwendung verwendet. Standardmäßig ist IIS 8 so eingestellt, dass für authentifizierte Benutzer/Benutzerinnen ein Identitätswechsel ausgeführt wird.
  7. Wählen Sie zum Beenden OK aus, oder fahren Sie mit den nächsten optionalen Schritten fort, um die Identität für den Identitätswechsel zu ändern.
  8. Wählen Sie optional Festlegen aus, um die Identität Bestimmter Benutzer zu ändern.
  9. Geben Sie im Dialogfeld Anmeldeinformationen festlegen den Namen eines vorhandenen Benutzerkontos in Benutzername sowie das zugehörige Kennwort in Kennwort ein. Geben Sie dann genau denselben Wert im Feld Kennwort bestätigen für ein neues Konto ein, das IIS für den anonymen Zugriff verwenden soll.
  10. Wählen Sie OK aus, um das Dialogfeld Anmeldeinformationen festlegen zu schließen.
  11. Wählen Sie OK aus, um das Dialogfeld ASP.NET-Identitätswechseleinstellungen bearbeiten zu schließen.

So konfigurieren Sie die Identitätswechselauthentifizierung über die Befehlszeile

Verwenden Sie die folgende Syntax, um die ASP.NET-Identitätswechselauthentifizierung zu aktivieren oder zu deaktivieren:

appcmd set config /commit:WEBROOT /section:identity /impersonate:true|false

Standardmäßig legt IIS das impersonate-Attribut auf false fest, wodurch die ASP.NET-Identitätswechselauthentifizierung deaktiviert wird. Wenn Sie das Attribut auf true festlegen, wird die ASP.NET-Identitätswechselauthentifizierung aktiviert. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um die ASP.NET-Identitätswechselauthentifizierung zu aktivieren:

appcmd set config /commit:WEBROOT /section:identity /impersonate:true

Optional können Sie die folgende Syntax verwenden, um das Konto für IIS für den Identitätswechsel festzulegen:

appcmd set config /commit:WEBROOT /section:identity /userName:string /password:string

Die Variable userName:string ist das Konto, das IIS für Identitätswechsel verwendet, und die Variable password:string ist das Kennwort. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um das Konto Moe für IIS für den Identitätswechsel zu verwenden:

appcmd set config /commit:WEBROOT /section:identity /userName: Moe /password:pass@word1

Hinweis

Wenn Sie „Appcmd.exe“ verwenden, um das Identitätselement auf globaler Ebene in IIS 8 zu konfigurieren, geben Sie /commit:WEBROOT im Befehl an, damit Konfigurationsänderungen an der Datei „Web.config“ im Stamm und nicht an der Datei „ApplicationHost.config“ vorgenommen werden.

4.4. Computerschlüsseleinstellungen

In diesem Abschnitt wird beschrieben, wie Computerschlüssel für die ASP.NET-Anwendung über die Benutzeroberfläche von IIS-Manager generiert werden.

So generieren Sie Computerschlüssel über die Benutzeroberfläche

  1. Navigieren Sie in IIS-Manager zu der Ebene, die Sie verwalten möchten.
  2. Doppelklicken Sie in der Featureansicht auf Computerschlüssel.
  3. Wählen Sie auf der Seite Computerschlüssel aus der Liste der Validierungsmethoden eine Validierungsmethode aus. Die Standardmethode für die Validierung ist SHA 1.
  4. Wählen Sie eine Verschlüsselungsmethode aus der Liste Verschlüsselungsmethode aus. Die Standardmethode für die Verschlüsselung ist Automatisch.
  5. Optional: Konfigurieren Sie die Einstellungen für Validierungs- und Verschlüsselungsschlüssel.
  6. Wählen Sie im Bereich Aktionen die Option Schlüssel generieren und dann Übernehmen aus.

4.5. TLS/SSL-Kommunikation

In diesem Abschnitt wird beschrieben, wie die TLS/SSL-Sicherheit für eine Anwendung konfiguriert wird.

Nachdem Sie ein Serverzertifikat von einer Zertifizierungsstelle erhalten haben, machen Sie sich in den folgenden Abschnitten mit den Verfahren vertraut:

  1. SSL-Bindung
  2. Erfordern von SSL für Ihre Website
  3. Clientzertifikate

SSL-Bindung

In diesem Abschnitt wird beschrieben, wie Sie Ihrer Website eine SSL-Bindung über die Benutzeroberfläche von IIS-Manager oder die Befehlszeile hinzufügen.

So fügen Sie einer Website eine SSL-Bindung über die Benutzeroberfläche hinzu

  1. Öffnen Sie den IIS-Manager.
  2. Erweitern Sie im Bereich Verbindungen den Knoten Websites in der Struktur, und wählen Sie dann die Website aus, für die Sie eine Bindung hinzufügen möchten.
  3. Klicken Sie im Bereich Aktionen auf Bindungen.
  4. Klicken Sie im Dialogfeld Sitebindungen auf Hinzufügen.
  5. Wählen Sie im Dialogfeld Sitebindung hinzufügen in der Liste Typ die Option https aus.
  6. Wählen Sie in der Liste IP-Adresse die Option Keine zugewiesen aus (außer Sie möchten eine bestimmte IP-Adresse verwenden).
  7. Geben Sie im Feld Port die Portnummer ein (der Standardwert ist „443“).
  8. Geben Sie im Feld Hostname den Namen des Hostcomputers ein.
  9. Wenn mehrere sichere Websites über dieselbe IP-Adresse erreichbar sein sollen, aktivieren Sie das Kontrollkästchen Servernamensanzeige erforderlich.
  10. Wählen Sie in der Liste SSL-Zertifikat das Zertifikat für Ihre Website aus. Wenn Ihr Zertifikat nicht in der Liste angezeigt wird, wählen Sie Auswählen aus und suchen über das Dialogfeld Zertifikat auswählen nach dem Zertifikat.
  11. Klicken Sie auf OK.

So fügen Sie einer Website eine SSL-Bindung über die Befehlszeile hinzu

Verwenden Sie die folgende Syntax, um einer Website eine Bindung hinzuzufügen:

appcmd set site /site.name:string /+bindings.[protocol='string', bindingInformation='string']

Die Variable site.name:string ist der Name der Website, der Sie eine Bindung hinzufügen möchten. Die Variable protocol='string' ist das Protokoll, das Sie verwenden möchten, und die Variable bindingInformation='string' ist die Kombination aus IP-Adresse, Port und Hostheader.

Geben Sie Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um z. B. eine Website namens contoso für eine HTTPS-Bindung für alle IP-Adressen an Port 443 ohne Hostheader zu konfigurieren:

appcmd set site /site.name:contoso /+bindings.[protocol='https', bindingInformation='*:443:']

Erfordern von SSL für Ihre Website

In diesem Abschnitt wird beschrieben, wie Sie für Ihre Website SSL über die Benutzeroberfläche von IIS-Manager oder die Befehlszeile anfordern.

So fordern Sie SSL über die Benutzeroberfläche an

  1. Navigieren Sie in IIS-Manager zu der Ebene, die Sie verwalten möchten. Vergewissern Sie sich, dass Sie sich auf Website-, Anwendungs- oder Verzeichnisebene befinden. SSL-Einstellungen sind nicht auf Serverebene verfügbar.

    Hinweis

    Wenn Sie SSL auf Dateiebene konfigurieren möchten, navigieren Sie in der Inhaltsansicht zu der Datei, und wählen Sie dann im Bereich Aktionen die Option Zur Featureansicht wechseln aus.

  2. Doppelklicken Sie in der Featureansicht auf SSL-Einstellungen.

  3. Wählen Sie auf der Seite SSL-Einstellungen die Option SSL erforderlich aus.

  4. Klicken Sie im Bereich Aktionen auf Übernehmen.

So fordern Sie SSL über die Befehlszeile an

Verwenden Sie die folgende Syntax, um SSL anzufordern:

appcmd set config "site|URL" /section:access /sslFlags:Ssl /commit:APPHOST

Die Variable site|URL ist die Website, die Anwendung, das virtuelle Verzeichnis oder die Datei, für die bzw. das IIS 8 SSL anfordern soll. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um SSL für die Standardwebsite anzufordern:

appcmd set config "Default Web Site" /section:access /sslFlags:Ssl /commit:APPHOST

Geben Sie Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um SSL für die Datei „iisstart.htm“ auf der Standardwebsite anzufordern:

appcmd set config "http://localhost/iisstart.htm" /section:access /sslFlags:Ssl /commit:APPHOST

Clientzertifikate

So geben Sie Clientzertifikate über die Benutzeroberfläche an

  1. Navigieren Sie in IIS-Manager zu der Ebene, die Sie verwalten möchten. Vergewissern Sie sich, dass Sie sich auf Website-, Anwendungs- oder Verzeichnisebene befinden. SSL-Einstellungen sind nicht auf Serverebene verfügbar.

    Hinweis

    Wenn Sie SSL auf Dateiebene konfigurieren möchten, navigieren Sie in der Inhaltsansicht zu der Datei, und wählen Sie dann im Bereich Aktionen die Option Zur Featureansicht wechseln aus.

  2. Doppelklicken Sie in der Featureansicht auf SSL-Einstellungen.

  3. Wählen Sie auf der Seite SSL-Einstellungen optional die Option SSL erforderlich aus. Es ist kein SSL zum Ignorieren oder Akzeptieren von Clientzertifikaten erforderlich.

  4. Verwenden Sie auf der Seite SSL-Einstellungen im Bereich Clientzertifikate eines der folgenden Verfahren:

    • Wählen Sie Ignorieren aus, wenn Sie ein Clientzertifikat nicht akzeptieren möchten, auch wenn es von einem Client übermittelt wird.
    • Wählen Sie Akzeptieren aus, um Clientzertifikate zu akzeptieren.
    • Wählen Sie Erforderlich aus, wenn Clientzertifikate erforderlich sein sollen. Sie müssen die Option SSL erforderlich aktivieren, um Clientzertifikate erforderlich zu verwenden.

  5. Klicken Sie im Bereich Aktionen auf Übernehmen.

So geben Sie Clientzertifikate über die Befehlszeile an

Verwenden Sie die folgende Syntax, um anzugeben, ob Clientzertifikate verwendet werden sollen:

appcmd set config "site|URL" /section:access /sslFlags:Ssl|SslNegotiateCert|SslRequireCert /commit:APPHOST

Die Variable site|URL ist die Website, die Anwendung, das virtuelle Verzeichnis oder die Datei, für die bzw. das IIS Clientzertifikate aktivieren soll. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um Clientzertifikate für die Standardwebsite zu akzeptieren:

appcmd set config "Default Web Site" /section:access /sslFlags:SslNegotiateCert /commit:APPHOST

Geben Sie Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um Clientzertifikate für die Datei „iisstart.htm“ auf der Standardwebsite zu akzeptieren:

appcmd set config "http://localhost/iisstart.htm" /section:access /sslFlags:SslNegotiateCert /commit:APPHOST

Sie können mindestens einen der Werte für das sslFlags-Attribut angeben. Wenn Sie mehrere Werte verwenden möchten, trennen Sie die einzelnen Werte durch ein Komma (,). Geben Sie z. B. Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE, um SSL und Clientzertifikate auf der Standardwebsite anzufordern:

appcmd set config "Default Web Site" /section:access /sslFlags:Ssl,SslRequireCert /commit:APPHOST